在go语言中安全问题之敏感数据保护、输入校验、SQL操作、网络请求场景示例
Go  /  管理员 发布于 1年前   383
go语言安全问题之敏感数据保护、输入校验、SQL操作、网络请求场景
场景1:敏感数据保护
敏感信息访问
禁止将敏感信息硬编码在程序中,既可能会将敏感信息暴露给攻击者,也会增加代码管理和维护的难度
使用配置中心系统统一托管密钥等敏感信息
敏感数据输出
只输出必要的最小数据集,避免多余字段暴露引起敏感信息泄露
不能在日志保存密码(包括明文密码和密文密码)、密钥和其它敏感信息
对于必须输出的敏感信息,必须进行合理脱敏展示
// bad
func serve() {
http.HandleFunc("/register", func(w http.ResponseWriter, r *http.Request) { r.ParseForm() user := r.Form.Get("user") pw := r.Form.Get("password")
log.Printf("Registering new user %s with password %s.\n", user, pw) }) http.ListenAndServe(":80", nil)}
// good
func serve1() {
http.HandleFunc("/register", func(w http.ResponseWriter, r *http.Request) { r.ParseForm() user := r.Form.Get("user") pw := r.Form.Get("password")
log.Printf("Registering new user %s.\n", user)
// ... use(pw) }) http.ListenAndServe(":80", nil)}
避免通过 GET 方法、代码注释、自动填充、缓存等方式泄露敏感信息
敏感数据存储
敏感数据应使用 SHA2、RSA 等算法进行加密存储
敏感数据应使用独立的存储层,并在访问层开启访问控制
包含敏感信息的临时文件或缓存一旦不再需要应立刻删除
异常处理和日志记录
应合理使用 panic、recover、defer 处理系统异常,避免出错信息输出到前端
defer func () {
if r := recover(); r != nil { fmt.Println("Recovered in start()") }}()
对外环境禁止开启 debug 模式,或将程序运行日志输出到前端
// baddlv --listen=:2345 --headless=true --api-version=2 debug test.go
// gooddlv debug test.go
加密解密
不得硬编码密码/密钥
- 在进行用户登陆,加解密算法等操作时,不得在代码里硬编码密钥或密码,可通过变换算法或者配置等方式设置密码或者密钥。
// bad
const (
user = "dbuser" password = "s3cretp4ssword")
func connect() *sql.DB {
connStr := fmt.Sprintf("postgres://%s:%s@localhost/pqgotest", user, password) db, err := sql.Open("postgres", connStr) if err != nil { return nil } return db}
// bad
var (
commonkey = []byte("0123456789abcdef"))
func AesEncrypt(plaintext string) (string, error) {
block, err := aes.NewCipher(commonkey) if err != nil { return "", err }}
密钥存储安全
在使用对称密码算法时,需要保护好加密密钥。当算法涉及敏感、业务数据时,可通过非对称算法协商加密密钥。其他较为不敏感的数据加密,可以通过变换算法等方式保护密钥。
不使用弱密码算法
在使用加密算法时,不建议使用加密强度较弱的算法。
// bad
crypto/des,crypto/md5,crypto/sha1,crypto/rc4等。
// good
crypto/rsa,crypto/aes等。
场景2:输入校验
按类型进行数据校验
所有外部输入的参数,应使用 validator 进行白名单校验,校验内容包括但不限于数据长度、数据范围、数据类型与格式,校验不通过的应当拒绝
// good
import (
"fmt" "github.com/go-playground/validator/v10")
var validate *validator.Validate
func validateVariable() {
myEmail := "[email protected]" errs := validate.Var(myEmail, "required,email") if errs != nil { fmt.Println(errs) return //停止执行
} // 验证通过,继续执行
}func main() {
validate = validator.New() validateVariable()
}
无法通过白名单校验的应使用 html.EscapeString、text/template 或 bluemonday 对 <, >, &, '," 等字符进行过滤或编码
import (
"text/template")
// TestHTMLEscapeString HTML特殊字符转义
func main(inputValue string) string {
escapedResult := template.HTMLEscapeString(inputValue) return escapedResult}
场景3:SQL 操作
SQL 语句默认使用预编译并绑定变量
使用 database/sql 的 prepare、Query 或使用 GORM 等 ORM 执行 SQL 操作
import (
"github.com/jinzhu/gorm" _ "github.com/jinzhu/gorm/dialects/sqlite")
type Product struct {
gorm.Model Code string Price uint}
...
var product Product
...
db.First(&product, 1)
使用参数化查询,禁止拼接 SQL 语句,另外对于传入参数用于 order by 或表名的需要通过校验
// bad
import (
"database/sql" "fmt" "net/http")
func handler(db *sql.DB, req *http.Request) {
q := fmt.Sprintf("SELECT ITEM,PRICE FROM PRODUCT WHERE ITEM_CATEGORY='%s' ORDER BY PRICE", req.URL.Query()["category"]) db.Query(q)}
// good
func handlerGood(db *sql.DB, req *http.Request) {
// 使用?占位符
q := "SELECT ITEM,PRICE FROM PRODUCT WHERE ITEM_CATEGORY='?' ORDER BY PRICE" db.Query(q, req.URL.Query()["category"])}
场景4:网络请求
资源请求过滤验证
使用 "net/http" 下的方法 http.Get(url)、http.Post(url, contentType, body)、http.Head(url)、http.PostForm(url, data)、http.Do(req) 时,如变量值外部可控(指从参数中动态获取),应对请求目标进行严格的安全校验。
如请求资源域名归属固定的范围,如只允许 a.qq.com 和 b.qq.com,应做白名单限制。如不适用白名单,则推荐的校验逻辑步骤是:
第 1 步、只允许 HTTP 或 HTTPS 协议
第 2 步、解析目标 URL,获取其 HOST
第 3 步、解析 HOST,获取 HOST 指向的 IP 地址转换成 Long 型
第 4 步、检查 IP 地址是否为内网 IP,网段有:
// 以RFC定义的专有网络为例,如有自定义私有网段亦应加入禁止访问列表。
10.0.0.0/8
172.16.0.0/12 192.168.0.0/16 127.0.0.0/8
第 5 步、请求URL
第 6 步、如有跳转,跳转后执行1,否则绑定经校验的ip和域名,对URL发起请求
官方库 encoding/xml 不支持外部实体引用,使用该库可避免 xxe 漏洞
import (
"encoding/xml" "fmt" "os")
func main() {
type Person struct { XMLName xml.Name `xml:"person"` Id int `xml:"id,attr"` UserName string `xml:"name>first"` Comment string `xml:",comment"` }
v := &Person{Id: 13, UserName: "John"} v.Comment = " Need more details. "
enc := xml.NewEncoder(os.Stdout) enc.Indent(" ", " ") if err := enc.Encode(v); err != nil { fmt.Printf("error: %v\n", err) }
}
122 在
学历:一种延缓就业设计,生活需求下的权衡之选中评论 工作几年后,报名考研了,到现在还没认真学习备考,迷茫中。作为一名北漂互联网打工人..123 在
Clash for Windows作者删库跑路了,github已404中评论 按理说只要你在国内,所有的流量进出都在监控范围内,不管你怎么隐藏也没用,想搞你分..原梓番博客 在
在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。..博主 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章..1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..
Copyright·© 2019 侯体宗版权所有·
粤ICP备20027696号